近期,开始将以前做的CTF的题目,全部整理一遍,写个WP,也是为了督促自己,还需要学的东西还有很多。
Pwnable.kr fd
我们首先看到这道题的C源码:
需要得到flag,则需要执行
system("/bin/cat flag");则 必须 buf = "LETMEWIN"。
read(fd, buf, 32)函数中的三个参数中:
fd == 0时:则表示标准输入;
fd == 1时:则表示 标准输出;
fd == 2时,则表示标准输出错误。
buf 表示读入的缓冲区;
32表示读入32字节;
所以我们 只需要 使 fd == 0 ,则我们就能自己输入 LETMEWIN 到 buf中。这样最终得到flag。
那么我们就要令
argv[1] = 0x1234即 argv[1] = 4660
Pwnable.kr Collision
这道题主要是 我们输入的 20个 字符串 转换为 int 型之后,相加之后 要等于 0x21DD09EC。
我们先来了解一下 char 型 强制转换为 int 型 的方法:
如果我们输入的字符串是: 12345678, 则转换为 ASCLL码之后。每4位转为一个 int 型。 之所以 顺序改变是 因为 小端序的原因。
所以 我们 输入的 20个 字符串, 最终会 转换为 5个 int 型 数组, 刚好够加5次。
我们只需要 输入 5组 数,使其相加 为 0x21DD09EC 即可。
那么 我们 前4组数 使其 都为 0x02020202, 最后一组数 为 0xE401D519(此处因为小端序的原因会改变存储的顺序).
Pwnable.kr mistake
根据题目和提示,我们可以发现这道题的漏洞在与 运算符的优先性问题。我们可以看到如下代码:
if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0)这段代码中,由于 比较运算符 优先级中 < 的优先级 高于 = 的优先级。也就是上述代码的执行顺序变为如下:
if( fd= (open("/home/mistake/password",O_RDONLY,0400) < 0 ))而我们知道 open() 函数 打开一个文件成功之后,就会返回一个非零数值,那么 永远比 0大,所以比较之后,将会返回 false 也就是 0。 所以 最终 fd = 0; 而当 fd = 0 之后,我们以下的代码:
len=read(fd,pw_buf,PW_LEN)此代码将会变为 stdin, 也即是读取用户输入,我们可以输入任意的数值。 所以我们可以如下输入:
pw_buf = 1111111111
pw_buf2 = 0000000000;
因为 pw_buf2 ^ 1111111111 = 1111111111;
Pwnable.kr shellshock
这道题,可以先对 shellshock有一定的了解:
https://blog.csdn.net/pygain/article/details/53969081
然后按照漏洞去执行 bash -c cat flag的命令即可
Pwnable.kr uaf
此题需要用到虚函数和堆的知识,博主对堆不太了解,只对虚函数有一定的了解,看了别人的WP,也只是了解一点,等以后有更深的知识了,再来补吧,下面放两篇我觉得写的挺详细的WP,供参考:
https://bbs.pediy.com/thread-224651.htm
https://blog.csdn.net/qq_20307987/article/details/51511230
Pwnable.kr cmd2
我们可以看到 这道题对我们输入的 grgv[1] 的进行了过滤,过滤掉了 / 、 ‘ 、 flag 等,那么我们要输入的参数原本为:
/bin/cat flag 就要进行绕过。
那么 flag 可以用适配符代替, 但是 / 怎么办呢?
pwd 命令是输出当前目录名的, 如果我们当前目录在根目录下,那么我输出的不就是 / 吗?
所以我们可以先进入到根目录,随后如下操作:
./home/cmd2/cmd2 '""$(pwd)bin$(pwd)cat $(pwd)home$(pwd)cmd2$(pwd)fl*""'
